ہرن یہیں رک جاتا ہے: CISOs کے لیے داؤ بہت زیادہ ہے۔

بزنس سیکورٹی

کام کا بھاری بوجھ اور واقعات کے لیے ذاتی ذمہ داری کا تصور سیکیورٹی لیڈروں پر اتنا اثر ڈالتا ہے کہ ان میں سے بہت سے لوگ باہر نکلنے کی تلاش میں رہتے ہیں۔ کارپوریٹ سائبر ڈیفنس کے لیے اس کا کیا مطلب ہے؟

فل منکاسٹر

08 فروری 2024  •  , 5 منٹ پڑھیں

سائبرسیکیوریٹی آخر کار ہے۔ بورڈ کی سطح کا مسئلہ بن رہا ہے۔. جیسا کہ ہونا چاہئے، سائبر رسک مینجمنٹ کے اسٹریٹجک فیصلہ سازی میں بڑھتے ہوئے اہم کردار کے پیش نظر۔ سائبر رسک بنیادی طور پر ایک بنیادی کاروباری خطرہ ہے جس میں بنانے کی صلاحیت ہے۔ ایک تنظیم کو توڑنا. اس کے پیچھے یقیناً یہی سوچ ہے۔ نئے ریگولیٹری قوانین امریکہ میں 

لیکن اس کی اہمیت کو تسلیم کرتے ہوئے، بورڈز اور ریگولیٹرز بھی CISOs پر زیادہ دباؤ ڈال رہے ہیں، بغیر ضروری طور پر انہیں مناسب پہچان اور انعام دے رہے ہیں۔ نتیجہ: بڑھتا ہوا تناؤ، برن آؤٹ اور عدم اطمینان۔ CISOs کا تین چوتھائی (75%) کہا جاتا ہے تبدیلی کے لیے کھلا، ایک سال پہلے کی نسبت آٹھ فیصد پوائنٹس۔ اور 64% اپنے کردار سے مطمئن ہیں، 10% کم۔

ان چیلنجوں کے تنظیموں کے اندر سائبرسیکیوریٹی کے لیے سنگین مضمرات ہیں۔ ان کا ازالہ فوری ترجیح ہونی چاہیے۔

ایک بڑھتا ہوا دباؤ والا کردار

CISOs کے پاس ہمیشہ ایک دباؤ والا کام رہا ہے۔ حال ہی میں ڈرائیوروں میں شامل ہیں:

• سرجنگ سائبر خطرے کی سطح، جو کئی تنظیموں کو مسلسل فائر فائٹنگ موڈ میں چھوڑ دیتا ہے۔
• صنعت مہارت کی کمی جو کلیدی ٹیموں کو کم اسٹاف چھوڑ دیتے ہیں۔
• بورڈ روم کی بڑھتی ہوئی مانگ کی وجہ سے کام کا زیادہ بوجھ
• مناسب وسائل اور فنڈز کی کمی
• کام کا بوجھ جو CISOs کو لمبے گھنٹے کام کرنے اور چھٹیاں منسوخ کرنے پر مجبور کرتا ہے۔
• ڈیجیٹل تبدیلی، جو کارپوریٹ کو وسعت دیتی رہتی ہے۔ سائبر حملے کی سطح
• تعمیل کے تقاضے جو ہر گزرتے سال کے ساتھ بڑھتے رہتے ہیں۔

یہ کوئی تعجب کی بات نہیں ہے کہ عالمی آئی ٹی اور سیکیورٹی رہنماؤں کا ایک چوتھائی (24٪) اعتراف کیا ہے تناؤ کو کم کرنے کے لیے خود دوا کرنا۔ بڑھتے ہوئے تناؤ کی سطح صرف برن آؤٹ اور/یا قبل از وقت ریٹائرمنٹ کے امکانات کو نہیں بڑھاتی ہے – یہ ناقص فیصلہ سازی کا باعث بن سکتے ہیں (جیسا کہ نوٹ کیا گیا ہے یہ تحقیق، مثال کے طور پر) کے ساتھ ساتھ علمی مہارتوں اور عقلی طور پر سوچنے کی صلاحیت کو بھی متاثر کرتا ہے۔ درحقیقت، یہ تجویز کیا گیا ہے کہ آنے والے دباؤ والے دن کی توقع بھی ادراک کو متاثر کر سکتی ہے۔ CISOs کے کچھ دو تہائی (65%) تسلیم کہ ملازمت سے متعلق تناؤ نے کام پر انجام دینے کی ان کی صلاحیت سے سمجھوتہ کیا ہے۔

جانچ پڑتال CISO پر مزید دباؤ ڈالتی ہے۔

تناؤ کی اس بنیادی لائن کے اوپری حصے میں حالیہ مہینوں میں اضافی ریگولیٹری، قانونی اور بورڈ کی جانچ پڑتال آئی ہے۔ تین حالیہ واقعات سبق آموز ہیں:

• 2023 فرمائے: سابق Uber CSO، جو سلیوان کو سزا سنائی گئی۔ 2016 کی میگا خلاف ورزی کو چھپانے کی کوشش میں اس کے کردار سے متعلق دو سنگین جرموں میں قصوروار پائے جانے کے بعد تین سال کے پروبیشن تک۔ حامیوں کا دعویٰ ہے کہ اسے اس وقت کے سی ای او ٹریوس کالانک ​​اور اندرون خانہ اوبر کے وکیل کریگ کلارک نے قربانی کا بکرا بنایا تھا۔ سلیوان وضاحت کر رہا ہے۔ کہ کالانک ​​نے ہیکرز کو اپنی متنازعہ $100,000 کی ادائیگی پر دستخط کر دیے تھے۔
• اکتوبر 2023: پہلے میں، SEC نے SolarWinds CISO کو چارج کیا۔ ٹموتھی براؤن نے فرم کے حفاظتی طریقوں کو بڑھاتے ہوئے سائبر رسک کو کم کرنے یا ظاہر کرنے میں ناکامی پر۔ شکایت کا حوالہ براؤن کے کئی داخلی تبصروں کا ہے اور الزام لگایا گیا ہے کہ وہ کمپنی کے اندر ان سنگین خدشات کو حل کرنے یا ان کو بڑھانے میں ناکام رہا۔
• دسمبر 2023: SEC رپورٹنگ کے نئے قوانین نافذ ہو جائے گا، جس میں عوامی طور پر درج فرموں سے مادییت کے تعین سے چار کاروباری دنوں کے اندر "مادی" سائبر واقعات کی رپورٹ کرنے کی ضرورت ہے۔ فرموں کو ہر سال خطرے اور کسی بھی واقعے کے اثرات کا اندازہ لگانے، شناخت کرنے اور ان کا انتظام کرنے کے لیے اپنے عمل کو بیان کرنے کی بھی ضرورت ہوگی۔ اور انہیں سائبر رسک کی بورڈ کی نگرانی اور اس طرح کے خطرے کا اندازہ لگانے اور ان کے انتظام میں اس کی مہارت کے بارے میں تفصیل سے آگاہ کرنے کی ضرورت ہوگی۔

یہ صرف امریکہ میں نہیں ہے جہاں ریگولیٹری نگرانی تعمیر کر رہی ہے۔ اکتوبر 2 تک یورپی یونین کے رکن ممالک کے قانون میں منتقل ہونے والی نئی NIS2024 ہدایت بورڈ پر سائبر رسک مینجمنٹ کے اقدامات کی منظوری اور ان کے نفاذ کی نگرانی کی براہ راست ذمہ داری عائد کرتی ہے۔ C-suite کے ممبران کو بھی ذاتی طور پر ذمہ دار ٹھہرایا جا سکتا ہے اگر سنگین واقعات میں غفلت پائی جاتی ہے۔

کے مطابق انٹرپرائز اسٹریٹجی گروپ (EST) تجزیہ کار جون اولٹسکCISOs پر اس طرح کے بڑھتے ہوئے دباؤ سے خطرات کا جواب دینا اور سائبر رسک کا انتظام کرنا ان کا بنیادی کام بن رہا ہے۔ ایک حالیہ ESG مطالعہ سے پتہ چلتا ہے کہ بورڈ کے ساتھ کام کرنا، ریگولیٹری تعمیل کی نگرانی کرنا، اور بجٹ کا انتظام کرنا، CISO کے کردار کو تکنیکی سے کاروبار پر مبنی کی طرف موڑ رہے ہیں۔ ایک ہی وقت میں، ڈیجیٹل تبدیلی اور کاروباری کامیابی کے لیے آئی ٹی پر بڑھتا ہوا انحصار بہت زیادہ ہو گیا ہے۔ سروے کا دعویٰ ہے کہ 65% CISOs نے تناؤ کی وجہ سے اپنا کردار چھوڑنے پر غور کیا ہے۔

CISOs اور بورڈز کے لیے ٹیک ویز

سب سے اہم بات یہ ہے کہ اگر CISOs کام کے بوجھ سے نمٹنے کے لیے جدوجہد کر رہے ہیں، اور ریگولیٹری انتقامی کارروائیوں اور یہاں تک کہ اپنے اعمال کے لیے مجرمانہ ذمہ داری کے خوف میں، تو ان کے روز بروز بدتر فیصلے کرنے کا امکان ہے۔ بہت سے لوگ انڈسٹری بھی چھوڑ سکتے ہیں۔ اس سے پہلے ہی کسی شعبے پر بہت برا اثر پڑے گا۔ مہارت کی کمی کے ساتھ جدوجہد.

لیکن یہ اس طرح ہونے کی ضرورت نہیں ہے۔ ایسی چیزیں ہیں جو دونوں بورڈز اور ان کے CISOs صورتحال کو کم کرنے کے لیے کر سکتے ہیں۔ اس کے ذریعے کوئی راستہ تلاش کرنا ان کے بہترین مفاد میں ہے۔ مندرجہ ذیل پر غور کریں:

• بورڈز کو CISOs کی ذہنی صحت، کام کا بوجھ، وسائل اور رپورٹنگ کے ڈھانچے کا جائزہ لینا چاہیے تاکہ ان کی تاثیر کو بہتر بنایا جا سکے۔ اعلی اٹریشن کی شرح کل وقتی CISO کے بغیر طویل وقفوں کا باعث بن سکتی ہے، جو ٹیموں کو کم کرتی ہے اور سیکیورٹی کی حکمت عملی کو متاثر کرتی ہے۔
• بورڈز کو اپنے CISOs کو اس بلند خطرے کے مطابق معاوضہ دینا چاہیے جو اب ان کے کردار میں شامل ہے۔
• اگر ممکن ہو تو CEO کو براہ راست رپورٹنگ لائنوں کے ساتھ، باقاعدہ بورڈ-CISO مصروفیت ضروری ہے۔ اس سے دونوں کے درمیان رابطے کو بہتر بنانے اور ان کی ذمہ داریوں کے مطابق CISO کی پوزیشن کو بلند کرنے میں مدد ملے گی۔
• بورڈز کو اپنے CISOs کو فراہم کرنا چاہیے۔ ڈائریکٹرز اور افسران (D&O) انشورنس انہیں سنگین خطرے سے بچانے میں مدد کرنے کے لیے۔
• CISOs کو اپنی پسند کی صنعت کے ساتھ قائم رہنا چاہیے، اور اس سے بھاگنے کے بجائے زیادہ ذمہ داری قبول کرنی چاہیے۔ لیکن انہیں یہ بھی یاد رکھنا چاہیے کہ ان کا کردار بورڈ کو مشورہ دینا اور سیاق و سباق فراہم کرنا ہے۔ دوسروں کو بڑی کال کرنے دیں۔
• CISOs کو ہمیشہ شفافیت اور کھلے پن کو ترجیح دینی چاہیے، خاص کر ریگولیٹرز کے ساتھ۔
• CISOs کو اس بات کا خیال رکھنا چاہئے کہ وہ اندرونی طور پر کیا گردش کرتے ہیں اور اس بات کو یقینی بناتے ہیں کہ متنازعہ فیصلے یا C-suite سے درخواستیں ہمیشہ تحریری طور پر ریکارڈ کی جائیں۔

نیا کردار تلاش کرتے وقت، CISOs کو اپنے ممکنہ معاہدے کو تفصیل سے چلانے کے لیے ذاتی وکیل کی خدمات حاصل کرنی چاہئیں۔

سائبرسیکیوریٹی حکمت عملی کو بہتر بنانے کے لیے، بورڈز کو اس بات کا از سر نو جائزہ لینا چاہیے کہ وہ CISO کا کردار کیا بننا چاہتے ہیں۔ اگلا مرحلہ یہ یقینی بنانا ہے کہ سائبرسیکیوریٹی پروفیشنل کو اس کردار میں کافی سپورٹ اور کافی انعام ملے جو وہاں رہنا چاہتے ہیں۔